Вопрос: кто что может сказать по этому вопросу? Может ссылка толковая есть?в целом - классическая схема подключения к двум isp-ам.
-- ISP1 --
/ \
pix -- router --< >-- router -- pix
\ /
-- ISP2 --Есть еще в центральном офисе маршрутизатор 806, и есть протокол hsrp. Допустим создать ipsec соединение между двумя маршрутизаторами в центральном офисе и удаленным. Затем поднять на основном GRE туннель (int tunnel 0) с этой точкой и настроить HSRP с тестированием этого самого tunnel 0. Я так мыслю что при разрыве связи интерфейс tun 0 упадет, и роль шлюза перейдет к резервному роутеру, а при поднятии обратно. Вот скажите - это полный бред или реально может сработать?если у тебя упадет рутер в филиале, то упадет и сам туннель. соответ ни один хост в сети филиала не сможет физически взаимодействовать с рутером в центральном офисе. HSRP используют несколько иначе. почитай внимательно http://www.cisco.com/univercd/cc/td/doc/ci...k/ics/cs009.htm (http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs009.htm)
А еще : )) а как можно это в одном устройстве совместить? Сами понимаете - два роутера это в два раза больше денег. И наверное второй стоит ставить только на случай вылета основного. Как то нужно маршрутизацию наверное настроить, только пока мысль никак не родится. Маловато еще прочел.достаточно по одному рутеру с двумя внешними (по кол-ву независимых ISP-ов) и одним ethernet-ом для pix-а во все филилы. HSRP с двумя и более маршрутизаторами в каждом филиале имеет смысл ставить только в том случае, если цена простоя измеряется очень серьезными цифрами. иначе заложи в ЗИП пару комплектов на случай выхода из строя. как только что-то погорело, вытащил железку из ЗИП-а, влил нужный конфиг и отправил гонца на замену железки.[snapback]6287[/snapback]
все хосты в сети в качестве default router-а используют виртуальный маршрутизатор. кто будет в филиале отвечать за виртуальный маршрутизатор при упавшем туннеле?Не, не так. В смысле туннеля два, через каждого ISPa. Основной падает и его роль умолчального маршрутера переходит ко второму. Я так имел в виду. Ну это сырой конечно очень вариант : )) Ой дошло... Ну тогда наверное роутер филиала при упавшем основном канале может пробрасывать трафик по резервному.
достаточно по одному рутеру с двумя внешними (по кол-ву независимых ISP-ов) и одним ethernet-ом для pix-а во все филилы.А как канал в таком случае будет держаться? В смысле канал между пиксами проложен через рутеры? Или как? Ведь в таком случае придется наверное делать так, чтобы у пиксов были реальные IP, и они роутились через обоих провов... Или поднимать канал на роутерах, а пикс будет иметь внутренний IP? Зачем он тогда вообще?
Не, не так. В смысле туннеля два, через каждого ISPa. Основной падает и его роль умолчального маршрутера переходит ко второму.у тебя пиксы сколько имеют внешних интерфейсов? два и каждый включен в пару ISP-ов? тогда тебе отдельная циска не нужна. если бы у твоих пиксов было по одному внешнему интефейсу, тогде поставив перед ним дополнительную циску, ты бы избавил его от необходимости выбора маршрута. как говорится кесарю - кесарево, а рутинг циске отдайте :)
А как канал в таком случае будет держаться? В смысле канал между пиксами проложен через рутеры? Или как? Ведь в таком случае придется наверное делать так, чтобы у пиксов были реальные IP, и они роутились через обоих провов... Или поднимать канал на роутерах, а пикс будет иметь внутренний IP? Зачем он тогда вообще?
У нас была мысль от пиксов там где будет более одного одключения отказаться. В роутерах же есть секурные добавки. Ну и последняя моя мысль поднимать все таки GRE туннель через ipsec соединение, так как в этом случае (мне так кажется) разрыв где то в середине за довольно короткий промежуток времени приведет к тому, что тунельный интерфейс будет считаться не рабочим. И на основе этого можно будет принять решение о посылке пакетов через резервный туннель.в твоем пиксе нет ни OSPF, ни BGP, ни тривиального RIP-а?
Меня смущает что у пиксов при поднятых ipsec каналах, таблица маршрутизации ничего не отображает.у тебя статическая маршрутизация на пиксах?